关闭

[06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)

1865人阅读 评论(0) 收藏 举报

endurer 原创

2006-06-26 第3版 补充:Kaspersky确认为病毒:Trojan.Win32.Agent.ut
2006-06-26 第2版 补充:Kaspersky(2006-06-26 09:06:15)、江民KV2006引擎版本:9.02.2040病毒库日期:2006-06-26均不报。


2006-06-25 第1

一位网友说,他的电脑最近不定时地浏览网页有时候很慢,有时候会弹出个莫名其妙的网页hxxp://www.88u.com。并发来了HijackThis扫描的log。

在log中,发现如下可疑项目:

 


 

O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:/WINDOWS/stdie.dll

O4 - HKCU/../Run: [LocalSystem] C:/WINDOWS/system/svchost.exe

 


 


回复后,该网友将两个文件打包发了过来。


其中:svchost.exe瑞星报为Trojan.DL.Agent.alb

此文件是用Microsoft Visual C++ 7.0 [Debug]写的


通过创建命名管道MicPIP下载:

 


 

hxxp://www.ad***369.com/filmweb/webad.asp
hxxp://www.ad***369.com/filmweb/file.asp
hxxp://www.ad***369.com/filmweb/file.dat
hxxp://www.ad***369.com/filmweb/ehu.up

 


 

创建文件
1、%windir%/setupsvc.txt

2、%USERPROFILE%/Local Settings/Temp/run1.bat

文件内容为:

 


 

rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 drv1.inf

 


 

3、%USERPROFILE%/Local Settings/Temp//drv1.inf

文件内容为:

 


 

[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/System,DisableRegistryTools

 


 

4、netinfo.xml

5、%windir%/system/svchost.exe

6、%windir%/system/netshell.dll

7、%windir%/netshell.dll

修改注册表多个键值

其中最重要的一项是:

 


 

Software/Microsoft/Windows/CurrentVersion/Policies/Explorer %s.dll

 


 

来加载netshell.dll。

HijackThis的简明log中不会报告这一项。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:2412036次
    • 积分:38661
    • 等级:
    • 排名:第108名
    • 原创:981篇
    • 转载:40篇
    • 译文:108篇
    • 评论:1560条
    文章存档
    最新评论